Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
SDN活⽤による次世代セキュリティ対策〜事例から⾒えてくる導⼊検討のポイント〜
株式会社ネットワールドマーケティング本部 ソリューションマーケティング部
クラウド&セキュリティソリューション課⽵内 純
1
株式会社ネットワールド 概要
4
設⽴1990年8⽉1⽇ ノベル社等の⽇本国内ディストリビューターとしてスタート
事業モデル製品と共に⾼い付加価値を提供するソリューションズ・ディストリビューター
ビジョン企業ユーザー理想のハイブリッド型を展開する「ハイブリッド・クラウド・イノベーション」を実現
主要戦略製品VMware / Cisco / EMC / NetApp / Microsoft / TrendMicro / IBM / Citrix...
売上⾼785億円(2016年12⽉度)
社員数420名 (うち1/4は技術本部)
メーカー SIer E/U
Service & Support
独⾃商材による差別化・付加価値路線の推進マルチベンダー環境⽀援・技術的アドバンテージ
弊社の主なポートフォリオ ”マルチベンダー・マルチクラウド”
5
Data CenterConverged System
Data CenterNetworking
Data CenterStorage
MobilityVDI BCP/DR
VMstack
Fundamental
Public Cloud Service
Hybrid CloudInfrastructure
Security
SaaSPaaS
SDNはセキュリティ強化に⾮常に有効です!
8
出典:クラウドWatch「2016年の国内SDN市場は355億円規模に、IDC Japan調査」http://cloud.watch.impress.co.jp/docs/news/1052845.html
SDNのユースケースが市場に認識され始める
代表的なSDNソリューション
9
仮想環境内でSDNを構成 ファブリック中⼼にSDNを構成物理ネットワーク
トンネリング
論理ネットワーク
接続デバイス
ファブリック“Nexus 9000”
ファブリック“Nexus 9000”
コントローラ“APIC”
SDNを実現するための仮想化技術 “VMware NSX”
10
サーバ仮想化サーバ機器が沢⼭ある
(ように⾒せる)
ネットワーク仮想化ネットワーク機器が沢⼭ある
(ように⾒せる)
vSphere + NSXvSphere
仮想化無しアプリケーションと物理サーバは1:1
ネットワーク仮想化によってSDNを実現
[Before] ネットワーク設定の課題①ネットワークセグメント
12
ネットワーク追加には個別に作業が必要
ネットワークの単位を大きくして簡素化
本来必要なセキュリティ要件が満たせない
VLAN:10192.168.10.x/24
VLAN:11192.168.11.x/24
VLAN:20192.168.20.x/24
VLAN:21192.168.21.x/24
セキュリティポリシーA
セキュリティポリシーE
セキュリティポリシーB
セキュリティポリシーF
VLAN:100192.168.100.x/24
VLAN:101192.168.101.x/24
セキュリティポリシーC
セキュリティポリシーG
VLAN:110192.168.110.x/24
VLAN:111192.168.111.x/24
セキュリティポリシーD
セキュリティポリシーH
VLAN:10192.168.1.x/24
VLAN:20192.168.2.x/24
VLAN:100192.168.100.x/24
VLAN:110192.168.110.x/24
セキュリティポリシーA
セキュリティポリシーB
セキュリティポリシーC
セキュリティポリシーD
VLANRouting
ACLFW
[Before] ネットワーク設定の課題②セグメント内の通信制御
13
セキュリティポリシーがネットワークに紐づく
実際は運用の観点から細分化が困難
ネットワークに依存したセキュリティにならざるを得ない
セキュリティポリシーA
セキュリティポリシーB
セキュリティポリシーC
セキュリティポリシーD
セキュリティポリシーA
セキュリティポリシーB
理想理想
[After] SDNによる課題解決①ネットワークセグメント
15
ネットワーク追加でも物理機器に変更無し
論理ネットワークを効率的に一元管理
細分化されたネットワーク環境が構築可能!
VLANRouting
ACLFW
VXLAN:5001 VXLAN:5002 VXLAN:5003 VXLAN:5004セキュリティポリシーA
セキュリティポリシーB
セキュリティポリシーC
セキュリティポリシーDOS
APPOS
APPOS
APPOS
APP
VXLAN:5005 VXLAN:5006セキュリティポリシーE
セキュリティポリシーFOS
APPOS
APP
VXLAN:5007 VXLAN:5008セキュリティポリシーG
セキュリティポリシーHOS
APPOS
APP
⼟管化(VXLANを通す⽤のVLAN1つでOK)
[After] SDNによる課題解決②セグメント内の通信制御
16
論理的なポリシーが仮想マシンに紐づく
設定の適用自動化で運用やコストを最適化
ネットワークに依存しない
通信制御が実現!
VXLAN:5001
VM1⽤論理ポリシー OS
APP
VM2⽤論理ポリシー OS
APP
VM5⽤論理ポリシー OS
APP
セキュリティポリシーA
VXLAN:5002
VM3⽤論理ポリシー OS
APP
VM4⽤論理ポリシー OS
APP
VM6⽤論理ポリシー OS
APP
セキュリティポリシーA
さらに!SDN化で拡張するセキュリティサービス
17
専⾨ベンダー製品との⾼品質なサービス連携
プラットフォームとしての拡張性
⼊⼝/出⼝ 対策
内部 対策
ネットワークの⾃由なデザインとセキュリティ強化
を両⽴可能
事例①東急建設様
22
設⽴ 1946年3⽉12⽇資本⾦ 163億5,444万円業種 総合建設業事業概要東急グループの総合建設会社。都市再開発やインフラ事業など、国内外で⼟⽊、建築事業を幅広く⼿がける。導⼊前までの経緯 導⼊後期待される効果• VMware仮想環境における
ネットワークセキュリティの強化を図ること。
• 柔軟でスピード感のあるネットワーク運⽤を実現すること。
• VMware NSXによるマイクロセグメンテーション化で安全な環境を実現。
• 物理スイッチの設定変更や新たな機器調達の⼯数・コストを削減。
導⼊までの経緯と検討ポイント
23
• インシデント発⽣時の被害を最⼩限にしたい• サーバ台数増加による性能問題を改善したい• 物理スイッチの設定変更の頻度を減少させたい
課題
成果 • 仮想マシン単位のセキュリティ設定が実現• 論理ネットワークで効率的にトラフィック処理• 物理スイッチの作業⼯数や機器台数を削減
本⽇の内容と合わせたSDN適⽤イメージ
24
【新規システム】VXLAN:5001
【既存システム】VXLAN:5002
【検証環境】VXLAN:5012
VM1⽤論理ポリシー OS
APP
物理は⼟管化で管理⼯数を削減
VM2⽤論理ポリシー OS
APP
VM3⽤論理ポリシー OS
APP
VM4⽤論理ポリシー OS
APP
VM5⽤論理ポリシー OS
APP
VM6⽤論理ポリシー OS
APP
・・・
上位物理ルータの折り返し通信を削減
論理FWでセキュリティ強化
NAT,FW,VPNを仮想化してコストダウン
オーバーレイ化で⾃由なネットワークデザイン
事例②⽣活の⽊様
25
設⽴ 1955年9⽉1⽇資本⾦ 1,000万円業種 製造⼩売業事業概要エッセンシャルオイル、アロマ、ハーブ、スーパーフード等の製造販売を⼿がける。導⼊前までの経緯 導⼊後期待される効果•社内で稼動するクライアントPCの運⽤管理負担を軽減すること。•標的型攻撃などによる情報セキュリティリスクを最⼩限に抑えること。
•VDIへの移⾏によりデスクトップ環境の統合⼀元管理と運⽤効率化を実現。•個々の仮想マシンごとに環境を分離し、感染被害の拡⼤を効果的に防⽌。
導⼊までの経緯と検討ポイント
26
• 万が⼀のマルウェア感染被害を最⼩化したい• 2年毎に更新するPC管理⼯数を削減したい• 各店舗の緊急なPC障害に迅速に対応したい
課題
成果 • 仮想マシン単位のセキュリティ設定が実現• ⼀括したポリシー配布による効率化• セキュアなデスクトップを迅速に配布
本⽇の内容と合わせたSDN適⽤イメージ
27
仮想デスクトップネットワーク
仮想サーバネットワーク
VM1⽤論理ポリシー
物理ネットワークには⼤きな変更無し
VM2⽤論理ポリシー
VM3⽤論理ポリシー
VM4⽤論理ポリシー
VM5⽤論理ポリシー OS
APP
VM6⽤論理ポリシー OS
APP
店舗物理PCの管理⼯数削減
論理FWでマルウェアの拡散防⽌
デスクトップ提供の迅速化と集中管理
拠点間接続を⾒据えた基盤構築
本⽇ご紹介した内容のまとめ
29
従来型セキュリティ = 侵⼊防⽌型
外接ファイアウォールを突破されるとゾーン内外への脅威の拡散が防げない
仮想マシンの粒度でセキュリティポリシーを制御し、カーネルレベルで脅威の拡散をブロック
セキュリティ境界を最⼩限にすることによる仮想マシン単位のセキュリティ管理
マイクロセグメンテーション = 拡散防⽌型
アセスメントサービスもご提供しています
• 以下のようなお客様におすすめ!– ネットワーク仮想化の導⼊を検討しているお客様– 仮想環境のセキュリティ強化⽅法をお探しのお客様– 導⼊済のVMware NSX環境の最適化を検討しているお客様
31
ご訪問から
3週間でご提案!
アセスメントサービスの流れ&お申込み⽅法
• 以下のURLの申し込みフォームからお申込みくださいhttp://www.networld.co.jp/sp/vm_nsx/service_am.html
32
※アセスメント実施にはVMware vSphereのバージョン5.5 Update 2 (Build 2068190)以上または6.0 Update 1b (Build 3380124)以上と、分散仮想スイッチ(vDS)のバージョン5.5以上が必要です。
VMware社のAdvantage+に登録!
vRNIがインストールされた評価機をお貸出し!
SDNソリューションの設計・構築のご⽀援も可能です
33
http://www.networld.co.jp/support/introduction/
分析・調査
概要設計 詳細設計システム
構築
ネットワールド導⼊サービス
• 仮想化関連作業実績(2015年):75件
• ネットワーク関連作業実績(2015年):130件超
コンサルティングやシステム構築、当社センターでの検証チェックなど、ニーズに合わせたご提案を致します!
SDNは”SDN Solutions Distributor”にお任せください!
34
Data CenterConverged System
Data CenterNetworking
Data CenterStorage
MobilityVDI BCP/DR
VMstack
Fundamental
Public Cloud Service
Hybrid CloudInfrastructure
Security
SaaSPaaS
SDNに関するお問い合わせ先[email protected]
→詳細な製品ご説明、インフラ全般のご相談、お⾒積もり依頼等、お気軽にご連絡ください!